Атакующие освоили функцию публичного шаринга чатов в ChatGPT и Claude. Схема проста и эффективна: создаётся диалог, имитирующий легитимное сообщение об ошибке или гайд по установке ПО, ссылка на него распространяется в мессенджерах, на форумах или через фишинговые письма. Жертва переходит — и видит убедительный «официальный» интерфейс на домене openai.com или claude.ai. Корпоративные и персональные средства защиты этот трафик пропускают: домены в белых списках.
Контекст
Функции публичного шаринга чатов появились у ChatGPT и Claude как удобный инструмент для совместной работы и обучения: разработчик может отправить коллеге ссылку на диалог с отладкой, преподаватель — поделиться примером промпта. Именно это доверие и эксплуатируется. Техника называется Living off Trusted Sites (LoTS) — атакующие не создают вредоносную инфраструктуру, а паразитируют на репутации уже существующих платформ с высоким DNS-рейтингом.
Исторически так использовались Google Docs, Dropbox, OneDrive, GitHub Pages — любая платформа с массовым охватом и доверенным доменом. LLM-платформы стали следующим логичным звеном: трафик к ним за последние полтора года вырос кратно, а большинство корпоративных firewall-политик не предполагают блокировку openai.com или claude.ai.
Контент внутри расшаренного чата может содержать как прямые ссылки на вредоносные файлы, так и многоступенчатые инструкции: «скачай обновление», «запусти скрипт для исправления ошибки». Поскольку диалог выглядит как ответ самого ИИ, доверие жертвы значительно выше, чем к обычному фишинговому сайту.
Аналитика
Это атака на доверие к бренду, а не на уязвимость в коде. Anthropic и OpenAI технически не взломаны — их инфраструктура работает штатно. Проблема в том, что любой пользователь может создать публичную ссылку на чат, и платформы пока не внедрили достаточно жёсткую модерацию содержимого расшаренных диалогов.
Для корпоративных SOC-команд это неудобная ситуация: заблокировать openai.com/claude.ai — значит отрезать сотрудников от рабочих инструментов. Разрешить — принять риск. Промежуточного решения в виде content-inspection для HTTPS-трафика к LLM-платформам практически нет. Это давление на вендоров: им придётся усилить механизмы репортинга и автоматическую проверку расшариваемых чатов на подозрительный контент — ссылки, скрипты, инструкции по скачиванию.
Более широкий тренд: по мере того как AI-инструменты встраиваются в повседневный рабочий процесс, они становятся векторами социальной инженерии. Следующий шаг, который уже обсуждается в security-сообществе, — злоупотребление MCP-серверами и agentic-пайплайнами, где доверенный контекст передаётся агентам напрямую.
Кейсы применения в бизнесе
B2B-SaaS стартап с распределённой командой. Разработчики активно шарят чаты с отладкой между собой и с клиентами. Риск: злоумышленник может подменить «официальную» ссылку на чат в Slack-канале или корпоративном Notion. Что внедрить: политика верификации — ссылки на расшаренные AI-чаты принимаются только от корпоративных аккаунтов, подтверждённых через SSO. Ожидаемый эффект: снижение вероятности успешной атаки через этот вектор без блокировки инструментов.
Корпорация с legacy-инфраструктурой. IT-отдел уже занёс openai.com и claude.ai в исключения антивируса и proxy. Нужно пересмотреть эти исключения: добавить URL-level inspection для путей вида /share/ или /c/, логировать переходы по расшаренным чатам и настроить алерт на массовое скачивание файлов после таких переходов.
SMB и локальный бизнес в КР/СНГ. Здесь угроза актуальна особенно: сотрудники нередко используют личные аккаунты ChatGPT на рабочих машинах, а IT-поддержка минимальна. Практический шаг: провести короткий (15 минут) инструктаж — «ссылка на чат ChatGPT сама по себе не является безопасной, не скачивай ничего по инструкции из чужого диалога».
Кейсы в личной жизни
Разработчик. Часто получает ссылки на чаты с примерами кода в Telegram-каналах или Discord. Правило: не запускай скрипты из расшаренных чатов без проверки в изолированной среде — даже если диалог выглядит как ответ Claude или ChatGPT. Используй sandbox (Docker, VM) для незнакомого кода.
Контент-мейкер и фрилансер. Активно использует AI для генерации текстов и работает с заказчиками через мессенджеры. Риск: заказчик присылает «шаблон промпта» через расшаренный чат, внутри которого — ссылка на «плагин для ускорения работы». Не переходи по ссылкам на сторонние ресурсы, встроенным в чат, без самостоятельной проверки домена.
Студент или начинающий пользователь AI. Ищет «готовые промпты» и попадает на форумы, где их раздают через публичные ссылки ChatGPT. Практика: воспринимать расшаренный чат как ненадёжный источник с такими же рисками, как случайный сайт из поисковой выдачи. Никаких скачиваний, никаких «обязательных расширений для браузера».
Как применить сегодня
- Проверь корпоративную политику: есть ли в белых списках домены openai.com и claude.ai без ограничений по путям — если да, добавь мониторинг переходов по
/share/-ссылкам. - Предупреди команду: расшаренный чат с ChatGPT или Claude — это не официальная документация и не верифицированный источник. Скачивание чего-либо по такой ссылке требует той же осторожности, что и переход на незнакомый сайт.
- Настрой в корпоративном браузере или прокси URL filtering на паттерны
chat.openai.com/share/и аналогичные — с логированием и опциональным предупреждением пользователю. - Для agentic-пайплайнов и MCP-интеграций: не доверяй контексту, пришедшему из внешних расшаренных чатов, без явной валидации источника — это вектор prompt injection через trusted channel.
- Если ты разработчик AI-инструментов: реализуй в своём продукте предупреждение при отображении контента из внешних ссылок — особенно если продукт рендерит расшаренные диалоги третьих сторон.